Страница 1 из 2
Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 13:45:05
kalifcd
Есть сервера Left 4 Dead, установленые на FreeBSD.Все отлично работаэт, но есть проблема с DDOS-атаками по UDP портам. Может кто подскажет нормальную защиту, пробывали ipfw и pf, но правельный конфигов так и не нашли. Нужно ограничить кол-во подключений(на ipfw не нашел limit connection udp).Помогите советом, если кто-то знает.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 13:47:24
Гость
если канал забьют флудом
то никакой фаервол не поможет
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 13:53:02
kalifcd
Гость писал(а):если канал забьют флудом
то никакой фаервол не поможет
От флуда защита есть, там не сложно. А по портам UDP пока конфига неподобрали.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 13:56:14
Гость
вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:01:15
kalifcd
Гость писал(а):вы наивный и глупый
от флуда защиты нет
если вам весь канал забьют флудом, то ни один пользователь к вам не достучится к вашему айпи, а не то что к какому то порту который вы собираетесь как то ограничивать
По поводу флуда есть конфиг, довольно распространённый:
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
А вот по поводу ограничений на UDP-порта, то на Линуксе есть и прекрасно работае:
http://forums.alliedmods.net/showthread.php?t=106378
Вот такое нада и на Free.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:05:51
kalifcd
И мне флуд не столь важен сейчас, мне нужна защита от DDos-атак по портам, где запускаются игровые сервера.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:14:48
Гость
весь ваш конфиг в попу, если вы не понимаете что такое флуд
и если вы на линуксе ограничиваете лимит айпи ради защиты от выдуманого ддоса, то флаг вам в руки
как вы думаете апач люди тоже ограничивают по 80 порту?
ответ - НИКОГДА, НИКОГДА, НИКОГДА
если ваши гейм сервера спроектированы что после 20 коннектов они вешаются потому что не выносят нагрузку
то выбросте их нахрен
ну а если же вы все таки дубовый и упорно хотите что то ограничивать, то флаг вам
http://forum.lissyara.su/viewtopic.php? ... 04&start=0
http://forum.lissyara.su/viewtopic.php? ... 7&start=25
http://forum.lissyara.su/viewtopic.php?f=4&t=23028
и харе меня квотить
кнопочка ОТВЕТИТЬ - слева внизу
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:24:12
hizel
как всетаки гость надоел :-(
топикстартер, такой возможности как в в приведенной вами ссылке в ipfw нет
надо самому писать нашлепку, но как бы нашлепка сама не сдохла от такого трафика, эх был бы ipfw модульным :-(
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:39:45
Гость
поддерживаю хизель не нужен
а если хизеля и ТС отправить по ссылкам выше
то они там найдут
limit {src-addr | src-port | dst-addr | dst-port} N
То же, что и keep-state, но динамическое правило заводится только в том случае, если не превышен указанный предел. Таким образом, можно легко ограничить количество одновременных подключений к некоторому хосту или порту.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:47:16
hizel
кретин, эта rule опция не является законченным решением проблемы топикстаретра, открой приведенную топикстартером ссылку и включи мозги
как минимум если сувать в лог по этой rule options быстро перевалит за LOG_LIMIT :-\
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:50:21
Гость
сам критин
зачем что то заваливать в лог?
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:52:26
hizel
я же сказал - включи мозги
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 14:58:28
Гость
иди сам включай мозги
количество динамических правил максимум 8192, с него хватит как лимит
остальное в /dev/null
http://www.opennet.ru/openforum/vsluhfo ... /3505.html
но как я сказал
ТС копает не в ту сторону
покажите мне реальные примеры на промышленных апачах, когда кто то ограничивает количество коннектов в порту 80, например
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:06:40
Alex Keda
Код: Выделить всё
srv0# ipfw show | grep 80
00100 9834432 5809025647 allow ip from me to me
00400 148 7800 deny ip from table(80) to me dst-port 80
00800 0 0 reject log logamount 1000 tcp from any to any not established tcpflags fin
01300 3756146 2336254820 allow tcp from any to me dst-port 80 setup limit src-addr 15
srv0#
я ограничиваю. а что?
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:09:37
Гость
ты ограничиваешь количество запросов с одного клиента(src)
а не количество запросов на сервер(dst)
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:10:09
kalifcd
Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:13:14
kalifcd
Вот простой FPinger по DDos валит только игровой сервер по UDP портам
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:13:30
Гость
80 setup limit src-addr 15
теперь понимаю почему иногда коннекты к форуму рвутся
если много сессий(закладок открыто)
Сервер выдерживает нагрузку и до 20 игровых серверов но при ддосе виснет сам сервер игры, а не машина!
вот с сервером и боритесь!
есть inetd для ограничения
есть tcpservice(или как то так он в портах гдето, daemontools/ucspi-tcp ) его еще часто к qmail в связке прикручивали
итд
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:17:53
hizel
kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?
когда гость отдуплится? ему о udp он tcp подсовывает
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:19:12
Гость
keep-state работает в равной мере и для udp тоже
флудите дальше
скучно с вами
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:22:18
kalifcd
hizel писал(а):kalifcd у вас какая структура флуда, много пакетов с одного ip или много пакетов с множества ip ?
С одного ip много пакетов. Но проблема в том, что если забанить его ip, он переходит на другой и повторяет все заново.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:44:20
hizel
Код: Выделить всё
allow tcp from any to me dst-port 80 setup limit src-addr 15
на каждое уникальное входящие соединение создается пара:
<src-ip> <-> <me>
уникальность в
<src-ip><src-port> <-> <dst-ip><dst-port>
если таких пар больше 15, пользователь посылается нафиг
то есть это работает для flood-а - один клиент много соединений, от udp flood-а оно не спасет
в udp по одному соединению можно фигачить тучу пакетов без проблем, в tcp только первыми пакетами syn, но они закрыты у Лис-а раньше
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 15:49:30
Гость
лисяра двал мне ответ на мой вопрос, а не вопрос ТС
к чему обьяснения его примера?
пепла на хизеля нет что бы засыпать
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 16:03:46
kalifcd
Так не может быть, что на линуксе все это спокойно решаемос а на Фряхе нет((( Должно быть решение, ведь игровые сервера основном на UDP портах.
Re: Защита от DDOS-атак (ipfw и limit connection udp)
Добавлено: 2011-03-18 16:05:39
Гость
на фряхе тоже решаемо
просто вы не хотите думать, а хотите что бы вам дали готовые комнады ipfw